Linux и Windows

Как настроить SSH-ключи в Ubuntu: подробное руководство

Дата:

Категория:

Метки:

Как настроить SSH-ключи в Ubuntu: подробное руководство

Введение

Secure Shell, или SSH, является отраслевым стандартным протоколом для безопасного управления удаленными системами. При подключении к серверу первый и самый важный шаг — это аутентификация. Хотя пароли являются распространенным методом, они уязвимы к современным атакам методом перебора, что может скомпрометировать безопасность вашего сервера. Чтобы установить более надежную и устойчивую защиту, следует использовать SSH-ключи. Этот метод основан на криптографии с открытым ключом и обеспечивает крайне безопасный и удобный способ доступа к вашему серверу, являясь основополагающей практикой безопасности для любого системного администратора.

Это руководство предоставляет пошаговое руководство по настройке и использованию SSH-ключей на сервере Ubuntu. Вы узнаете, как сгенерировать новую безопасную пару ключей на вашей локальной машине, правильно скопировать ваш открытый ключ на сервер для аутентификации и управлять правами доступа. Наконец, мы рассмотрим важный шаг по усилению безопасности — отключение аутентификации с использованием пароля на вашем сервере, чтобы только пользователи с действительным приватным ключом могли получить доступ. К концу этого руководства у вас будет настроен безопасный вход на сервер без пароля.

Основные выводы:

  • SSH-ключи обеспечивают более безопасный и удобный способ аутентификации на удалённом сервере по сравнению с входом с использованием пароля.
  • Алгоритм Ed25519 рекомендуется для генерации новых SSH-ключей благодаря его повышенной безопасности и производительности.
  • Вы можете создать новую пару ключей на вашем локальном компьютере с помощью команды ssh-keygen -t ed25519.
  • Добавление надежной фразы-пароля к вашему приватному ключу обеспечивает важный дополнительный уровень защиты от кражи.
  • Утилита ssh-copy-id является самым простым и рекомендуемым методом для развертывания открытого ключа на сервере.
  • Для повышения безопасности следует отключить аутентификацию по паролю и прямой вход под root в файле sshd_config на сервере.
  • Агент SSH позволяет вводить парольную фразу вашего ключа всего один раз за сеанс для удобного доступа к нескольким серверам.
  • Строгие права доступа к файлам (700 для ~/.ssh и 600 для authorized_keys) необходимы для правильной работы аутентификации с использованием ключей.
  • SSH-тоннелирование, или переадресация портов, позволяет безопасно подключаться к удалённым приложениям, таким как Jupyter Notebook, как если бы они работали локально.
  • Использование флага подробного вывода (ssh -v) является наиболее эффективным инструментом для устранения проблем с подключением, так как он показывает подробную отладочную информацию.

Основы ключей SSH

Защищённый канал (SSH) — это фундаментальный протокол для безопасного удалённого администрирования систем. Хотя многие пользователи начинают с аутентификации по паролю, ключи SSH предлагают более безопасный, удобный и гибкий способ аутентификации. В этом разделе рассматриваются основные концепции ключей SSH, причины их использования и различные доступные типы.

Что такое SSH-ключи?

Ключи SSH представляют собой пару криптографических ключей, которые можно использовать для аутентификации на SSH-сервере в качестве альтернативы входу с использованием пароля. Этот метод аутентификации основан на асимметричной криптографии, также известной как криптография с открытым ключом.

Вот как это работает:

  1. Генерация ключевой пары: Вы генерируете пару ключей на своем локальном компьютере: закрытый ключ и открытый ключ.
  2. Приватный ключ: приватный ключ должен оставаться в секрете и быть надежно защищен. Он хранится на клиентском устройстве, которое вы используете для подключения к серверу. Любой, у кого есть ваш приватный ключ, может выдать себя за вас, поэтому крайне важно защищать его надежной парольной фразой.
  3. Публичный ключ: Публичный ключ можно свободно передавать. Чтобы включить аутентификацию на основе ключей, скопируйте ваш публичный ключ на удалённый сервер и добавьте его в специальный файл в вашей пользовательской учётной записи, обычно ~/.ssh/authorized_keys.

Когда вы пытаетесь подключиться к серверу, сервер использует ваш публичный ключ для создания сообщения-вызова и отправляет его вашему клиенту. Ваш клиент затем использует ваш приватный ключ, чтобы правильно ответить на вызов, подтверждая вашу личность без передачи самого ключа. Если ответ верен, сервер предоставляет вам доступ.

Зачем использовать SSH-ключи?

Использование SSH-ключей вместо паролей предоставляет значительные преимущества в области безопасности, удобства и автоматизации.

  • Повышенная безопасность: SSH-ключи значительно сложнее взломать, чем пароли. Типичный пароль может содержать 8–16 символов и использовать ограниченный набор символов. SSH-ключ, с другой стороны, представляет собой длинную последовательность битов. 256-битный ключ Ed25519 или 4096-битный ключ RSA практически невозможно взломать методом перебора. Это делает ваш сервер значительно более устойчивым к автоматическим атакам.

  • Удобство: Как только вы настроите SSH-ключи, вы сможете входить на свои серверы без необходимости каждый раз вводить пароль. Если вы добавите парольную фразу к вашему приватному ключу для дополнительной безопасности, вы можете использовать утилиту ssh-agent. Агент загружает ваш расшифрованный ключ в память, позволяя использовать его для нескольких подключений в течение одной сессии после того, как вы введёте парольную фразу только один раз.

  • Автоматизация: SSH-ключи необходимы для автоматизированных процессов. Инструменты, используемые в CI/CD-пайплайнах, управлении конфигурациями (например, Ansible) и скриптах резервного копирования, должны подключаться к удалённым серверам без участия человека. Хранение паролей в скриптах представляет собой серьёзный риск для безопасности. SSH-ключи обеспечивают безопасный и автономный способ аутентификации для этих автоматизированных систем.

Типы SSH-ключей

Для создания SSH-ключей можно использовать несколько различных криптографических алгоритмов. Наиболее распространённые из них — RSA, ECDSA и Ed25519.

Алгоритм Тип ключа Рекомендуемый размер Скорость Примечания по безопасности
RSA Ривест-Шамир-Адлеман 3072 или 4096 бит Медленнее Самый старый и наиболее совместимый алгоритм. Для высокой безопасности требуется использование ключей большего размера.
ECDSA Эллиптическая кривая DSA 256, 384 или 521 бит Быстрее, чем RSA Обеспечивает высокую безопасность при меньших размерах ключей. Некоторые исследователи в области безопасности выражают опасения по поводу кривых NIST, на которых она основана.
Ed25519 DSA на кривых Эдвардса 256 бит Самый быстрый Современный, безопасный и быстрый. Устойчив к различным атакам по побочным каналам. Широко поддерживается современными системами.

Для большинства случаев использования рекомендуемым алгоритмом SSH-ключа является Ed25519. Он предлагает наилучшее сочетание безопасности и производительности. Он более безопасен, чем ECDSA, и гораздо быстрее, чем RSA. Большинство современных операционных систем и SSH-клиентов поддерживают Ed25519 уже несколько лет.

Вы должны выбирать другой алгоритм только в том случае, если необходимо подключиться к очень старой системе, которая не поддерживает Ed25519. В таких случаях 4096-битный RSA ключ является безопасной и широко совместимой альтернативой.

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть следующие предварительные условия. Чтобы следовать этому руководству, вам потребуется:

  • Система Ubuntu: У вас должен быть доступ к серверу или локальному компьютеру с установленной актуальной версией Ubuntu с долгосрочной поддержкой (LTS), такой как 20.04, 22.04 или 24.04. Представленные инструкции разработаны для этих версий и могут отличаться на других системах.
  • Пользователь без прав root с привилегиями sudo: Все команды, требующие административных прав, будут предваряться sudo. Эта практика повышает безопасность, предотвращая случайные изменения всей системы. У вас должен быть аккаунт, настроенный для выполнения команд с этими повышенными правами.
  • Клиент и сервер OpenSSH: Безопасный удалённый доступ осуществляется через SSH. Для установления соединений вам потребуется openssh-client, а для их приема — openssh-server. Большинство установок Ubuntu Desktop и Server включают эти пакеты по умолчанию.

Проверка и установка OpenSSH

Сначала проверьте состояние службы ssh, которая управляется openssh-server.

sudo systemctl status ssh

Если служба активна, вывод покажет, что она «active (running)». Если она не установлена, вы увидите сообщение «Unit ssh.service could not be found».

Если они не установлены, выполните следующие команды, чтобы установить openssh-server и openssh-client:

sudo apt update sudo apt install openssh-server openssh-client

После завершения установки служба SSH запустится автоматически. Когда эти предварительные условия выполнены, вы готовы приступить к основным шагам руководства.

Создание вашей пары SSH-ключей

Первым шагом в настройке аутентификации с помощью SSH-ключей является создание пары ключей на вашем локальном клиентском устройстве. Эта пара состоит из приватного ключа, который необходимо хранить в секрете, и публичного ключа, которым можно делиться.

Команда ssh-keygen

Чтобы сгенерировать пару ключей, используйте команду ssh-keygen. В то время как на старых системах по умолчанию использовались ключи RSA, современным рекомендуемым стандартом является Ed25519 благодаря его высокой производительности и безопасности.

Откройте терминал на вашем локальном компьютере и выполните следующую команду:

ssh-keygen -t ed25519

Эта команда запускает процесс генерации ключа с использованием флага -t, указывающего тип ключа. Вы увидите первый запрос:

Generating public/private ed25519 key pair. Enter file in which to save the key (/home/your_home/.ssh/id_ed25519):

Вы можете нажать ENTER, чтобы принять путь и имя файла по умолчанию. Ключи будут сохранены в скрытой директории .ssh в вашей домашней папке. Если вам нужно управлять несколькими ключами, вы можете указать здесь альтернативный путь.

Если пара ключей уже существует по указанному пути, вам будет предложено подтвердить, хотите ли вы перезаписать её. Перезапись ключа является разрушительным действием и не позволит вам аутентифицироваться с использованием старого ключа, поэтому действуйте с осторожностью.

Использование фраз-паролей

Далее вам будет предложено ввести парольную фразу:

Enter passphrase (empty for no passphrase):

Парольная фраза добавляет дополнительный уровень безопасности к вашему приватному ключу. Даже если ваш приватный ключ будет скомпрометирован, злоумышленнику всё равно потребуется парольная фраза для его использования.

Вот разбор плюсов и минусов:

Аспект Профессиональная версия (с паролем) Недостатки (с паролем)
Безопасность Значительно более безопасно. Ключ зашифрован на диске, что делает его бесполезным для злоумышленника без пароля. Если вы опустите парольную фразу, скомпрометированный приватный ключ предоставит немедленный доступ к вашему серверу.
Удобство Менее удобно для ручного входа, так как необходимо вводить парольную фразу каждый раз при подключении. Более удобно, позволяя выполнять вход без пароля сразу же.
Автоматизация Может усложнить работу автоматизированных скриптов (например, CI/CD конвейеров, резервного копирования), которым требуется неинтерактивный доступ. Идеально для автоматизации. Скрипты могут проходить аутентификацию без участия пользователя.

Рекомендация: Для интерактивного использования всегда используйте надежную фразу-пароль. Это неудобство легко устраняется с помощью SSH-агента, о котором мы расскажем в следующем разделе. Для автоматизированных систем, где нет пользователя для ввода фразы-пароля, возможно, потребуется её опустить, но при этом необходимо строго ограничить права ключа на сервере.

После подтверждения вашей парольной фразы процесс завершится, и вы увидите вывод, подтверждающий создание ключа:

Your identification has been saved in /home/your_home/.ssh/id_ed25519 Your public key has been saved in /home/your_home/.ssh/id_ed25519.pub The key fingerprint is: SHA256:O3E2/c3nHCq+i4vIT0c+E+/bcfIs43hLi2dERbYtDb0 user@host The key's randomart image is: +--[ED25519 256]--+ |      .o*B+o     | |     . =o+==.    | |      ..o. o.    | |       E. . o    | |        S  . .   | |         .  .    | |        . o..    | |       . ooo..   | |        .=+o.    | +----[SHA256]-----+

Понимание ключевых файлов

Теперь у вас есть два новых файла в каталоге ~/.ssh:

  • id_ed25519: Это ваш закрытый ключ. Обращайтесь с ним как с паролем. Никогда не делитесь им с кем-либо и не храните в небезопасном месте. Это ключ, который подтверждает вашу личность.
  • id_ed25519.pub: Это ваш публичный ключ. Он предназначен для общего использования и может безопасно распространяться. Вы поместите этот ключ на любой сервер, к которому хотите получить доступ. Сервер использует публичный ключ для проверки подписи, предоставленной вашим приватным ключом.

С вашей сгенерированной парой ключей вы готовы развернуть открытый ключ на вашем сервере.

Развертывание открытого ключа на сервере

Чтобы включить аутентификацию на основе ключей, необходимо скопировать ваш открытый ключ на целевой сервер и добавить его в учетную запись пользователя, в которую вы хотите войти. Сервер затем свяжет ваш открытый ключ с этой учетной записью.

Простой способ: использование ssh-copy-id

Команда ssh-copy-id является самым простым и рекомендуемым методом развертывания вашего публичного ключа. Она доступна на большинстве систем Linux, macOS и Windows (через WSL). Этот метод требует временного доступа к серверу по SSH с использованием пароля.

Синтаксис следующий:

ssh-copy-id username@remote_host

Замените username на ваше имя пользователя на удалённом сервере, а remote_host на его IP-адрес или доменное имя.

В первый раз при подключении вы можете увидеть предупреждение о подлинности хоста. Введите yes и нажмите ENTER. Затем утилита запросит пароль пользователя:

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys username@203.0.113.1's password:

Введите пароль. Инструмент ssh-copy-id подключится к серверу, создаст каталог ~/.ssh и файл authorized_keys, если они не существуют, и добавит ваш публичный ключ в этот файл с правильными правами доступа.

Number of key(s) added: 1  Now try logging into the machine, with:   "ssh 'username@203.0.113.1'" and check to make sure that only the key(s) you wanted were added.

Ваш ключ теперь активирован.

Ручной метод

Если ssh-copy-id недоступен или аутентификация по паролю уже отключена, ключ необходимо добавить вручную.

  1. Получите строку вашего открытого ключа. Отобразите открытый ключ на вашем локальном компьютере:

    cat ~/.ssh/id_ed25519.pub

    Скопируйте весь вывод, который начинается с ssh-ed25519 AAAA...

  2. Войдите на ваш удалённый сервер. Используйте любой доступный метод (например, веб-консоль).

  3. Добавьте ключ в authorized_keys. На сервере выполните следующую команду. Она создаст необходимую директорию и файл, если они не существуют, и установит правильные разрешения.

    mkdir -p ~/.ssh && chmod 700 ~/.ssh && touch ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys

    Теперь добавьте ваш открытый ключ. Используйте команду echo и вставьте скопированную строку ключа.

    echo "public_key_string" >> ~/.ssh/authorized_keys

    Убедитесь, что вы используете >> (добавить), а не > (перезаписать), чтобы избежать удаления существующих ключей.

Тестирование соединения

После развертывания вашего ключа убедитесь, что аутентификация на основе ключа работает. На вашей локальной машине выполните:

ssh username@remote_host
  • Если вы установили парольную фразу для вашего ключа, вам будет предложено ввести её сейчас.
  • Если вы не установили парольную фразу, вы должны быть сразу вошли в систему без запроса пароля.

Если вы успешно вошли в систему, настройка завершена. Теперь вы можете приступить к усилению безопасности вашего сервера.

Управление и использование нескольких ключей

Когда вы работаете с большим количеством серверов и сервисов (например, GitHub или GitLab), вам может потребоваться управлять несколькими парами SSH-ключей. Файл конфигурации SSH-клиента и агент SSH могут значительно упростить этот процесс.

Конфигурация клиента

Вы можете настроить ваш SSH-клиент на использование определённых ключей для разных хостов, создав и отредактировав файл ~/.ssh/config. Этот файл позволяет создавать псевдонимы для подключений, указывая имя хоста, пользователя и какой приватный ключ использовать.

Создайте файл, если он не существует:

touch ~/.ssh/config

Откройте файл в текстовом редакторе и добавьте записи для ваших хостов. Например:

# Work Server Host work-server     HostName 198.51.100.5     User admin     IdentityFile ~/.ssh/id_rsa_work  # Personal Project Server Host personal-project     HostName project.example.com     User dev     IdentityFile ~/.ssh/id_ed25519  # GitHub Host github.com     HostName github.com     User git     IdentityFile ~/.ssh/id_ed25519_github

С этой конфигурацией:

  • ssh work-server автоматически подключится к 198.51.100.5 как пользователь admin, используя ключ id_rsa_work.
  • ssh personal-project подключается к project.example.com как dev с использованием ключа id_ed25519.

Это устраняет необходимость запоминать IP-адреса, имена пользователей или указывать ключ с помощью флага -i для каждого подключения.

SSH агент

Если вы защитили свои приватные ключи с помощью парольных фраз, SSH-агент необходим для удобства. Агент — это фоновая программа, которая безопасно хранит ваши расшифрованные приватные ключи в памяти, поэтому вам нужно вводить парольную фразу только один раз за сессию.

  1. Запустите агент. Чтобы запустить агента для вашей текущей сессии терминала, выполните:

    eval "$(ssh-agent -s)"

    Вы должны увидеть подтверждение с идентификатором процесса агента.

  2. Добавьте свой ключ к агенту. Используйте команду ssh-add, чтобы добавить свой приватный ключ:

    ssh-add ~/.ssh/id_ed25519

    Вам будет предложено ввести парольную фразу для этого ключа. После ввода агент будет хранить расшифрованный ключ.

Теперь любое последующее подключение по SSH с использованием этого ключа в течение вашей сессии будет выполняться автоматически без запроса пароля снова. Агент автоматически предоставит ключ для аутентификации.

Укрепление безопасности на стороне сервера

После того как вы убедились, что аутентификация на основе ключей работает правильно, следует усилить конфигурацию SSH вашего сервера для повышения безопасности. Два самых важных шага — отключить аутентификацию по паролю и отключить прямой вход под пользователем root.

Эти изменения вносятся в файл конфигурации демона SSH, /etc/ssh/sshd_config. Откройте его с привилегиями sudo:

sudo nano /etc/ssh/sshd_config

Важно: Перед применением этих изменений убедитесь, что у вас есть рабочее подключение по ключу для пользователя без прав root с привилегиями sudo. В противном случае вы рискуете потерять доступ к серверу.

Отключение аутентификации по паролю

Отключение аутентификации с помощью пароля защищает ваш сервер от атак методом перебора, когда злоумышленники пытаются угадать пароли пользователей.

Найдите директиву PasswordAuthentication. Если она закомментирована (начинается с #), раскомментируйте её, удалив #. Установите её значение в no:

... PasswordAuthentication no ...

Это изменение гарантирует, что аутентифицироваться могут только клиенты с действительным SSH-ключом.

Отключение входа под root

Разрешение прямого входа под пользователем root через SSH является угрозой безопасности, поскольку пользователь root является известной и высоко ценимой целью. Наилучшей практикой является вход под обычным пользователем с последующим повышением привилегий с помощью sudo при необходимости.

Найдите директиву PermitRootLogin и установите её значение в no:

... PermitRootLogin no ...

Это предотвращает возможность входа в систему напрямую как пользователь root через SSH.

Применение изменений

После внесения изменений сохраните файл и выйдите из редактора (нажмите CTRL+X, затем Y, затем ENTER в nano).

Чтобы применить новую конфигурацию, необходимо перезапустить службу SSH:

sudo systemctl restart ssh

Чтобы проверить изменения, не будучи заблокированным, откройте новое окно терминала и попробуйте подключиться к серверу. Ваш вход по ключу должен работать. Вы также можете попытаться подключиться с машины, на которой нет вашего SSH-ключа, или попробовать ssh root@remote_host, чтобы убедиться, что вход по паролю и под root корректно запрещен. После того как вы проверите новые настройки, вы можете безопасно закрыть вашу исходную сессию.

Продвинутые меры безопасности

Помимо стандартной настройки, SSH предлагает мощные функции для дополнительного укрепления вашей безопасности. Эти продвинутые методы обеспечивают детальный контроль использования ключей, используют аутентификацию на основе аппаратных средств и позволяют безопасно получать доступ к удалённым сетевым сервисам.

Аппаратные клавиши

Для наивысшего уровня безопасности вы можете использовать физический аппаратный ключ, такой как YubiKey или другое устройство, соответствующее стандартам FIDO2/U2F. Этот метод хранит ваш приватный ключ на защищённом от вмешательства аппаратном устройстве, что означает, что ключевые данные никогда не записываются на диск вашего компьютера. Аутентификация требует не только наличия ключа, но и физического действия (касания устройства), обеспечивая надежную защиту от кражи ключей и вредоносного ПО.

  1. Генерация ключа: Убедитесь, что ваш аппаратный ключ подключен к вашему компьютеру. Используйте команду ssh-keygen с типом ed25519-sk или ecdsa-sk:

    ssh-keygen -t ed25519-sk

    Это предложит вам коснуться вашего аппаратного ключа, чтобы подтвердить операцию. Процесс создает два файла: открытый ключ (id_ed25519_sk.pub) и дескриптор закрытого ключа (id_ed25519_sk). Дескриптор закрытого ключа не является самим ключом, а указывает на ключ, безопасно хранящийся на аппаратном устройстве.

  2. Развертывание публичного ключа: Скопируйте содержимое файла id_ed25519_sk.pub в файл ~/.ssh/authorized_keys на вашем сервере, так же, как вы сделали бы с обычным ключом.

  3. Аутентификация: Когда вы инициируете SSH-подключение с использованием этого ключа, ваш SSH-клиент предложит вам коснуться вашего аппаратного ключа для авторизации сессии. Это физическое взаимодействие гарантирует, что злоумышленник не сможет использовать ваш ключ без физического доступа к вашему устройству.

Ограничение доступа к ключам

Вы можете применять детализированные ограничения к отдельным ключам, добавляя параметры в начале соответствующих строк в файле ~/.ssh/authorized_keys на сервере. Это особенно полезно для автоматизации задач или предоставления ограниченного доступа.

Формат: options public-key-string

Вот некоторые из наиболее практичных вариантов:

Вариант Описание Пример использования 
from="pattern"
 Ограничивает использование ключа только с определенного IP-адреса или имени хоста. 
from="198.51.100.5" or from="*.example.com"
 
command="cmd"
 Принудительно выполняет определённую команду при входе в систему, игнорируя любые команды, которые вводит пользователь. Пользователь будет автоматически разлогинен после завершения команды. 
command="/usr/local/bin/backup.sh"
 
no-port-forwarding
 Отключает перенаправление TCP-портов для этого ключа. 
no-port-forwarding
 
no-agent-forwarding
 Отключает переадресацию агента SSH для этого ключа. 
no-agent-forwarding
 
no-X11-forwarding
 Отключает X11-перенаправление, которое используется для отображения графических приложений удаленно. 
no-X11-forwarding

Практический пример:

Представьте, что вам нужен ключ для автоматического скрипта резервного копирования, работающего на сервере по адресу 198.51.100.5. Вы хотите, чтобы этот ключ мог запускать только скрипт резервного копирования и ничего больше. Ваша запись в authorized_keys будет выглядеть следующим образом:

from="198.51.100.5",command="/opt/scripts/backup.sh",no-port-forwarding,no-agent-forwarding,no-X11-forwarding ssh-ed25519 AAAAC3... backup-script-key

Эта конфигурация гарантирует, что ключ может использоваться только с указанного IP-адреса для выполнения одной, заранее определённой команды, при этом все остальные функции SSH отключены.

Перенаправление агента SSH

Перенаправление агента SSH — это механизм, который позволяет использовать ваши локальные SSH-ключи для аутентификации на втором сервере с машины, к которой вы уже подключены, без копирования вашего приватного ключа на промежуточный сервер.

  • Сценарий использования: Наиболее распространенный вариант — подключение через «бастион» или «jump»-сервер. Вы выполняете SSH с вашей локаальной машины (A) на бастион-сервер (B), а оттуда нужно подключиться к внутреннему серверу (C). Перенаправление агента позволяет использовать ключ с машины A для аутентификации на машине C.

  • Как использовать: Чтобы включить переадресацию агента для одного соединения, используйте флаг -A:

    ssh -A user@bastion-host

    После входа на bastion-host вы сможете подключиться по SSH к внутреннему серверу, и ваш локальный агент позаботится об аутентификации:

    ssh user@internal-server

  • Последствия для безопасности: Несмотря на удобство, переадресация агента несет значительный риск для безопасности. Если промежуточный сервер (bastion-host) будет скомпрометирован, злоумышленник с правами root на этом сервере сможет захватить соединение вашего агента. Это позволит ему использовать ваши пересланные учетные данные для входа на любой другой сервер, к которому имеет доступ ваш ключ, пока ваша сессия активна. Используйте переадресацию агента только при подключении к серверам, которым вы полностью доверяете. Более безопасной современной альтернативой является использование директивы ProxyJump в файле ~/.ssh/config.

SSH туннелирование (перенаправление портов)

SSH-туннелирование, или перенаправление портов, создает зашифрованный канал для безопасной маршрутизации сетевого трафика между вашим локальным компьютером и удаленным сервером. Это полезно для доступа к сервисам, которые не доступны из публичного интернета, или для шифрования трафика устаревших приложений.

Локальная переадресация портов

Локальное перенаправление портов (-L) позволяет вам получить доступ к сервису в удалённой сети так, как если бы он работал на вашем локальном компьютере.

  • Сценарий использования: Доступ к базе данных на удалённом сервере, который разрешает подключения только с localhost (самого себя).

  • Синтаксис: ssh -L локальный_порт:хост_назначения:порт_назначения пользователь@ssh_сервер

  • Пример: Чтобы перенаправить порт 3306 (MySQL) с remote_server на ваш локальный порт 8888, выполните:

    ssh -L 8888:localhost:3306 user@remote_server

    Теперь вы можете подключить ваш локальный клиент базы данных к localhost:8888, и трафик будет безопасно туннелирован на порт 3306 на remote_server.

Удалённая переадресация портов

Удалённый проброс портов (-R) делает противоположное: он открывает доступ к сервису, работающему на вашей локальной машине, для сети удалённого сервера.

  • Сценарий использования: Временное отображение веб-приложения, работающего на вашей локальной машине для разработки (localhost:3000), коллеге, который может получить доступ к удалённому серверу.

  • Синтаксис: ssh -R удалённый_порт:хост_назначения:порт_назначения пользователь@ssh_сервер

  • Пример: Чтобы открыть доступ к вашему локальному веб-серверу через порт 9999 на remote_server, выполните:

    ssh -R 9999:localhost:3000 user@remote_server

Теперь ваш коллега может получить доступ к http://remote_server:9999 в своем браузере, и запросы будут перенаправлены на вашу локальную машину на порт 3000. Будьте осторожны с этой функцией, так как она может открыть локальные сервисы для удаленной сети.

Лучшие практики и обслуживание

Настройка SSH-ключей является важным первым шагом, но поддержание безопасной конфигурации с течением времени не менее важно. Следование лучшим практикам в области прав доступа, ротации ключей и резервного копирования обеспечит долгосрочную целостность доступа к вашему серверу.

Разрешения файлов

Как клиент SSH, так и серверный демон (sshd) осуществляют строгую проверку прав доступа к файлам ключей, чтобы предотвратить доступ к ним неавторизованных пользователей. Неправильные права доступа являются одной из самых частых причин сбоев аутентификации.

Вы должны установить следующие разрешения как на клиенте, так и на сервере, где это применимо:

Путь Требуемое разрешение (восьмеричное) Требуемое разрешение (символическое) Объяснение 
~/.ssh/
 
700
 
drwx------
 Владелец может читать, записывать и входить в каталог. Никто другой не имеет доступа. 
~/.ssh/authorized_keys
 
600
 
-rw-------
 Владелец может читать и записывать файл. Никто другой не имеет доступа.
~/.ssh/id_ed25519 (Приватный ключ) 
600
 
-rw-------
 Владелец может читать и записывать файл. Это защищает ваш приватный ключ на вашем локальном компьютере.

Чтобы применить эти разрешения, используйте команду chmod:

# On the server and client  chmod 700 ~/.ssh    # On the server  chmod 600 ~/.ssh/authorized_keys    # On the client (for your private key)  chmod 600 ~/.ssh/id_ed25519

Смена ключа

Ротация ключей — это процесс периодической замены старых SSH-ключей на новые. Это критически важная практика безопасности, которая ограничивает возможный ущерб в случае компрометации приватного ключа. Украденный ключ обеспечивает беспрепятственный доступ до его удаления с сервера.

Политика ротации: Частота ротации зависит от стандартов безопасности вашей организации. Распространенной практикой является ежегодная ротация ключей. Для особо чувствительной инфраструктуры ротация может происходить ежеквартально или даже чаще.

Процесс вращения:

  1. Создайте новую пару ключей на вашем локальном компьютере (ssh-keygen -t ed25519).
  2. Разверните новый открытый ключ в файле ~/.ssh/authorized_keys на всех соответствующих серверах с помощью ssh-copy-id.
  3. Тщательно проверьте соединение с помощью нового ключа, чтобы убедиться, что оно работает правильно.
  4. Удалите старый открытый ключ из файла ~/.ssh/authorized_keys на каждом сервере.
  5. Надежно удалите старый приватный ключ и файлы публичного ключа с вашего локального устройства.

Резервное копирование и восстановление

Потеря вашего личного ключа означает потерю доступа ко всем серверам, настроенным для его использования. Необходима надежная стратегия резервного копирования.

  • Безопасное хранение: Никогда не храните резервные копии вашего приватного ключа в незашифрованном виде. Используйте надежный менеджер паролей (например, Bitwarden или 1Password), зашифрованный USB-накопитель или безопасный облачный сервис хранения с клиентским шифрованием.
  • План восстановления: Помимо резервных копий, имейте вторичный способ доступа к вашему серверу. Это часто называют процедурой «break-glass» (экстренный доступ). Наиболее распространенный метод — использование веб-консоли, предоставляемой вашим облачным или хостинговым провайдером. Доступ через эту консоль позволяет вам войти в систему (часто с паролем) и вручную добавить новый публичный ключ в ваш файл authorized_keys, если вы потеряете оригинальный.

Устранение распространённых проблем

Даже при тщательной настройке могут возникнуть проблемы. Большинство проблем попадают в несколько общих категорий, связанных с правами доступа, сетевым подключением или несоответствием ключей.

«Отказано в доступе» Ошибки

Это самая частая ошибка и она почти всегда указывает на проблему с ключом или разрешениями файла. Вы увидите сообщение вроде этого:

username@remote_host: Permission denied (publickey).

Распространенные причины и решения:

  1. Неверные разрешения на стороне сервера: Демон SSH на сервере отклонит соединение, если каталог ~/.ssh или файл ~/.ssh/authorized_keys имеют слишком открытые разрешения. Выполните эти команды на сервере для пользователя, к которому вы подключаетесь:

    chmod 700 ~/.ssh  chmod 600 ~/.ssh/authorized_keys

  2. Неправильные права на стороне клиента: Ваш SSH-клиент не будет использовать приватный ключ, к которому могут получить доступ другие пользователи вашей системы. Убедитесь, что ваш приватный ключ защищен:

    chmod 600 ~/.ssh/id_ed25519

  3. Несоответствие ключей: Публичный ключ на сервере может не соответствовать приватному ключу, который использует ваш клиент. Убедитесь, что все содержимое вашего локального файла .pub находится в одной строке в файле authorized_keys на сервере.

Проблемы с подключением

Если вы видите ошибки вроде Connection refused или соединение прерывается по тайм-ауту, вероятно, проблема связана с сетью или самой службой SSH.

Распространенные причины и решения:

  1. Брандмауэр блокирует порт: Чаще всего причиной является брандмауэр на сервере. В Ubuntu вы можете проверить состояние UFW (Uncomplicated Firewall) и убедиться, что порт SSH (22) разрешен.

    # Check firewall status on the server  sudo ufw status    # If SSH is not allowed, add the rule  sudo ufw allow ssh

  2. Демон SSH не запущен: Сервис SSH (sshd) может быть неактивен на сервере. Проверьте его состояние:

    # Check the status of the ssh service on the server  sudo systemctl status ssh

    Если он не активен, вы можете попробовать запустить или перезапустить его:

    sudo systemctl restart ssh

  3. Неправильный IP-адрес или порт: Дважды проверьте, что вы используете правильный IP-адрес сервера. Если демон SSH на сервере слушает нестандартный порт (например, 2222), его необходимо указать с помощью флага -p:

    ssh -p 2222 username@remote_host

Использование режима отладки

Самый мощный инструмент для диагностики любой проблемы с подключением по SSH — это режим подробного вывода. Использование флага -v заставляет SSH-клиент выводить детализированную отладочную информацию о процессе подключения.

ssh -v username@remote_host

Вы можете увеличить уровень детализации с помощью -vv или -vvv. Вывод будет следующим:

  • Какие файлы конфигурации читаются.
  • Этапы криптографического рукопожатия.
  • Какие приватные ключи клиент пытается использовать (Предлагаемый открытый ключ...).
  • Ответ сервера на каждую клавишу.

Этот подробный журнал почти всегда покажет точную причину сбоя, будь то невозможность найти нужный ключ, ошибка с правами доступа или отказ сервера.

Сценарии использования ИИ

SSH часто воспринимается как простой инструмент командной строки для входа на удалённый сервер. Для специалистов по ИИ и машинному обучению это, однако, фундаментальная технология, которая обеспечивает безопасные, эффективные и автоматизированные рабочие процессы. Независимо от того, запускаете ли вы Jupyter Notebook на мощном сервере с поддержкой GPU, автоматизируете сложный процесс обучения или даёте возможность AI-агенту управлять собственной инфраструктурой, SSH является безопасной основой, которая делает всё это возможным.

Создание туннеля для AI блокнотов (Jupyter, VS Code и др.)

Разработка ИИ часто требует больше вычислительных ресурсов, чем может предоставить локальный ноутбук, особенно при работе с большими наборами данных и сложными моделями. Это означает запуск сред разработки, таких как Jupyter Notebooks или VS Code, на мощных удалённых серверах. Основная проблема заключается в безопасном доступе к этим веб-инструментам или клиент-серверным приложениям через интернет.

Именно здесь SSH-туннелирование, также известное как переадресация портов, становится необходимым. SSH-туннель создает безопасное, зашифрованное соединение между портом на вашем локальном компьютере и портом на удаленном сервере. Любой трафик, который вы отправляете на локальный порт, автоматически и безопасно перенаправляется через SSH-соединение на указанный порт на удаленной машине. Это позволяет взаимодействовать с удаленным приложением так, как если бы оно работало локально.

Практический пример: безопасный доступ к удалённой Jupyter Notebook

Представьте, что вы запустили сервер Jupyter Notebook на удалённой машине. По умолчанию Jupyter защищает вашу сессию с помощью токена аутентификации и работает на порту 8888. Хотя токен добавляет уровень безопасности, прямой доступ к сервису через интернет всё равно представляет риск. Использование SSH-туннеля является стандартной практикой для создания безопасного соединения.

Вы можете использовать локальный SSH-перенаправление портов, чтобы создать этот безопасный туннель, сопоставив порт 8888 на вашем локальном компьютере с портом 8888 на удалённом сервере.

  1. Установите туннель: Откройте терминал на вашем локальном компьютере и выполните следующую команду:

    ssh -L 8888:localhost:8888 user@remote-server-ip

    Давайте разберём аргументы флага -L:

    • 8888: Порт, к которому вы будете обращаться на вашей локальной машине.
  2. localhost: конечный хост, к которому должен подключаться удалённый сервер. Поскольку Jupyter запущен на самом удалённом сервере, localhost является правильным значением.
  3. 8888: Порт назначения на удаленном сервере, на котором прослушивает Jupyter Notebook.
  4. user@remote-server-ip: Ваши стандартные учетные данные SSH для удаленного сервера.

  5. Доступ к Jupyter: Как только соединение SSH будет установлено, откройте ваш локальный веб-браузер и перейдите по адресу http://localhost:8888. SSH-туннель безопасно перенаправит ваш запрос на сервер Jupyter. При первом подключении вам все равно потребуется ввести токен аутентификации Jupyter.

Интеграция с удаленной разработкой в VS Code

Тот же принцип применим к современным инструментам разработчика, таким как Visual Studio Code. Расширение Remote — SSH автоматизирует безопасное подключение для редактирования файлов, использования терминала и отладки кода напрямую на удалённой машине.

Однако важно отметить, что расширение управляет основной работой IDE, но не перенаправляет автоматически все веб-приложения, которые вы можете запускать на сервере (например, отдельный сервер Jupyter или панель Streamlit). В таких случаях можно использовать встроенную в VS Code функцию перенаправления портов. Это позволяет вам вручную или автоматически перенаправлять любые дополнительные порты через существующее безопасное SSH-соединение, обеспечивая те же преимущества, что и флаг -L в командной строке.

Автоматизация AI-пайплайнов с помощью SSH

Помимо интерактивных сессий, SSH является мощным инструментом для автоматизации многоэтапных рабочих процессов ИИ. В машинном обучении ключевыми являются воспроизводимость и эффективность, а написание скриптов для вашего конвейера — от передачи данных до обучения модели и получения результатов — является основой современного MLOps.

Автоматизированный ИИ-конвейер обычно включает три основных этапа, каждый из которых можно автоматизировать с помощью команд SSH.

  1. Загрузка кода и данных: Прежде чем запустить задачу, необходимо перенести свои скрипты и наборы данных на удалённый сервер. В то время как scp (безопасное копирование) подходит для отдельных файлов, rsync (удалённая синхронизация) обычно предпочтительнее из-за своей эффективности при синхронизации каталогов. Для масштабных AI-воркфлоу часто используются специализированные инструменты.

    • Использование rsync для синхронизации каталога с отображением прогресса:

      rsync -avz --progress ./my-project/ user@remote-server-ip:/home/user/project/

  2. Специализированные инструменты: Для очень больших наборов данных рассмотрите такие инструменты, как Rclone, оптимизированный для синхронизации файлов с облачными хранилищами (S3, Google Cloud Storage и др.), или DVC (Data Version Control), который интегрируется с Git для управления большими файлами данных и моделями.

  3. Запуск тренировочных или инференс-заданий: Вы можете выполнить команду на удалённом сервере без открытия интерактивной оболочки, просто добавив её к вашей SSH-команде. Это идеально подходит для запуска скрипта обучения.

    • Выполнить Python-скрипт удалённо:

      ssh user@remote-server-ip "python /home/user/project/train.py --epochs 50 --batch-size 32"

    4. Команда будет выполнена, и её стандартный вывод будет отображён в вашем локальном терминале.

  4. Загрузить результаты: После завершения работы вы можете снова использовать scp или rsync, чтобы скачать полученные артефакты, такие как веса обученной модели, журналы или показатели производительности.

    • Скачать файл обученной модели:

      scp user@remote-server-ip:/home/user/project/models/final_model.pth ./local-results/

Инструменты для продвинутой автоматизации

Хотя простые shell-скрипты работают хорошо, с помощью специализированных инструментов и библиотек можно добиться более сложной автоматизации.

  • Fabric: Высокоуровневая библиотека Python, предназначенная для развертывания приложений и выполнения задач администрирования систем через SSH.
  • Paramiko: Библиотека Python низкого уровня, которая реализует протокол SSHv2 и предоставляет детальный контроль для создания пользовательских SSH-приложений.
  • CI/CD рабочие процессы: Эти скриптовые SSH-команды можно интегрировать непосредственно в CI/CD-платформы, такие как GitHub Actions или Jenkins, для создания полностью автоматизированных MLOps-конвейеров.

Использование SSH с AI-агентами

Одним из самых перспективных применений SSH является предоставление ИИ-агентам возможности взаимодействовать с удалённой инфраструктурой и управлять ею. ИИ-агенты, такие как те, что создаются с использованием фреймворков вроде LangChain или AutoGPT, являются автономными системами, которые могут рассуждать, создавать планы и выполнять действия для достижения цели.

Предоставляя агенту доступ к SSH в качестве «инструмента», вы позволяете ему выполнять сложные задачи по управлению инфраструктурой. Однако важно правильно сформулировать это: хотя прямой доступ по SSH возможен для экспериментов, в производственных средах гораздо чаще агенты взаимодействуют с более ограниченными, высокоуровневыми API инфраструктуры (например, Kubernetes API, SDK облачных провайдеров или планировщики заданий, такие как Slurm), а не получают прямой доступ по SSH. Такой подход обеспечивает более безопасный и аудиторный контроль над инфраструктурой.

Примеры использования AI-агентов с поддержкой SSH

  • Динамическое управление ресурсами: Агенту может быть поручено эффективно запускать обучающую задачу. Он может выполнять следующие шаги автономно:

    • Подключитесь по SSH к списку доступных серверов в кластере.
  • Выполните команду nvidia-smi на каждом устройстве, чтобы проверить доступность GPU, его загрузку и использование памяти.
  • Проанализируйте результаты, чтобы выбрать оптимальный сервер для выполнения задачи.
  • Используйте scp, чтобы передать необходимый код и данные на выбранный сервер.
  • Запустите обучающий скрипт с помощью команды SSH.

  • Автоматизированное развертывание модели: Агент мог бы управлять всем процессом развертывания. Получив инструкцию «развернуть последнюю модель в производственной среде», он мог бы:

    • Подключитесь к производственному серверу для инференса через SSH.
  • Получите последний код приложения из репозитория Git.
  • Скачайте последние веса модели из реестра моделей.
  • Перезапустите службу вывода (например, systemctl restart my-inference-api), чтобы загрузить новую модель.

    • Ключевые вопросы безопасности

    Предоставление агенту ИИ доступа по SSH несет значительные риски для безопасности. Крайне важно следовать принципу наименьших привилегий. Ни в коем случае агенту ИИ не следует предоставлять доступ root к системе.

    Практика безопасности Описание
    Посвящённый, Ограниченный Пользователь Создайте конкретную учетную запись пользователя, не являющегося root, для агента. Используйте правила sudo, чтобы предоставить ему разрешение на выполнение только тех команд, которые ему действительно нужны.
    Используйте SSH-ключи Всегда используйте SSH-ключи с защитой паролем для аутентификации. Никогда не вставляйте открытые пароли в конфигурации агента.
    Изолированные среды Ограничьте работу агента в контейнеризованной (например, Docker) или изолированной среде, чтобы ограничить его доступ к хост-системе.
    Аудит и ведение журналов Ведите детальные, неизменяемые журналы каждой команды, выполняемой агентом, и каждого соединения, которое он устанавливает, для целей аудита и мониторинга.

    Внедряя эти меры предосторожности, вы можете экспериментировать с мощью ИИ-агентов для управления инфраструктурой, сохраняя при этом безопасную и контролируемую среду.

    Часто задаваемые вопросы

    1. Как мне сгенерировать SSH-ключи в Ubuntu 22.04?

    Вы создаёте пару ключей SSH с помощью командной утилиты ssh-keygen. Рекомендуемый современный алгоритм — Ed25519 благодаря его повышенной безопасности и производительности.

    Откройте ваш терминал и выполните следующую команду:

    ssh-keygen -t ed25519 -C "your_email@example.com"
    • -t ed25519: Этот параметр указывает тип создаваемого ключа.
    • -C "your_email@example.com": Это добавляет комментарий к ключу, обычно электронную почту, чтобы помочь вам идентифицировать его позже.

    После выполнения команды вам будет предложено ввести две вещи:

    1. Расположение файла: Нажмите Enter, чтобы принять расположение по умолчанию, которое будет внутри каталога ~/.ssh/ (например, /home/user/.ssh/id_ed25519).
    2. Парольная фраза: Вам будет предложено ввести и подтвердить парольную фразу. Это важный шаг в обеспечении безопасности. Парольная фраза шифрует ваш приватный ключ на диске, поэтому даже если кто-то получит доступ к файлу, он не сможет его использовать без парольной фразы.

    После завершения ssh-keygen подтвердит, что ваши публичный и приватный ключи были сохранены.

    2. Где хранятся SSH-ключи в Ubuntu?

    По умолчанию клиент SSH хранит свои пары ключей и конфигурацию в каталоге .ssh в домашнем каталоге пользователя (~/.ssh/). Этот каталог скрыт, о чем свидетельствует точка в начале его имени.

    В этом каталоге вы найдете два основных файла для каждой пары ключей:

    1. Приватный ключ (id_ed25519): Это ваш секретный ключ. Его необходимо защищать и никогда не делиться им с кем-либо или не раскрывать публично. Приватный ключ используется для подтверждения вашей личности перед удалённым сервером.
    2. Публичный ключ (id_ed25519.pub): Этот ключ предназначен для общего использования. Вы копируете содержимое этого файла на удалённые серверы, чтобы предоставить себе доступ. Сервер использует этот ключ для проверки запроса на подключение, подписанного вашим соответствующим приватным ключом.

    3. Как мне скопировать мой SSH-ключ на удалённый сервер?

    Самый простой и рекомендуемый метод — использовать команду ssh-copy-id. Эта утилита автоматически копирует ваш открытый ключ на удалённый сервер, добавляет его в правильный файл ~/.ssh/authorized_keys и устанавливает соответствующие права для каталога и файла.

    Чтобы использовать это, выполните команду ниже, заменив имя пользователя на удаленном сервере и IP-адрес или имя хоста сервера.

    ssh-copy-id username@remote_host

    Вас попросят ввести пароль пользователя на удалённом сервере один последний раз. После успешной аутентификации ваш ключ будет скопирован, и последующие входы по SSH будут возможны без пароля.

    Если ssh-copy-id недоступен, вы можете выполнить эти действия вручную, скопировав ваш открытый ключ и добавив его в файл ~/.ssh/authorized_keys на удалённом сервере.

    4. Какой тип ключа мне следует использовать для SSH в 2025 году (RSA или Ed25519)?

    Для всех новых ключей следует использовать Ed25519. Это современный алгоритм на основе эллиптических кривых, который обеспечивает лучшую безопасность и значительно лучшую производительность по сравнению со старым стандартом RSA.

    Хотя RSA не считается взломанным, Ed25519 является предпочтительным выбором для почти всех случаев использования.

    Функция Ed25519 RSA
    Безопасность Отлично. Более прочные криптографические гарантии и устойчивость к некоторым атакам побочных каналов. Хорошо, но сегодня для обеспечения безопасности требуется большой размер ключа (3072 или 4096 бит).
    Производительность Очень быстро. Генерация ключей и операции подписи проходят значительно быстрее, чем с RSA. Медленнее. Производительность заметно ухудшается при использовании больших размеров ключей, необходимых для современной безопасности.
    Размер ключа Маленькие и эффективные. Публичные и приватные ключи значительно короче, чем их аналоги RSA. Большой. 4096-битный ключ RSA является длинным, что может быть проблемой для некоторых аппаратных устройств.
    Совместимость Отлично. Поддерживается всеми современными SSH-клиентами и серверами с версии OpenSSH 6.5 (выпущенной в 2014 году). Универсально. Поддерживается практически всеми реализациями SSH, включая очень старые устаревшие системы.

    Используйте Ed25519, если у вас нет особой необходимости подключаться к устаревшей системе, которая его не поддерживает.

    5. Как отключить вход по паролю в SSH на Ubuntu?

    Отключение аутентификации по паролю является критически важной мерой безопасности, которая защищает ваш сервер от атак методом подбора. После того как вы подтвердите, что вход по ключу работает, следует отключить пароли на вашем удалённом сервере.

    1. Подключитесь к вашему удалённому серверу через SSH.

    2. Откройте файл конфигурации демона SSH с помощью текстового редактора с правами суперпользователя:

      sudo nano /etc/ssh/sshd_config

    3. Внутри файла найдите директиву PasswordAuthentication. Раскомментируйте её (удалите #), если необходимо, и установите значение no.

      PasswordAuthentication no

    4. Убедитесь, что PubkeyAuthentication установлено в yes, чтобы разрешить вход с использованием ключа.

      PubkeyAuthentication yes

    5. Сохраните файл (Ctrl+O, Enter) и выйдите из редактора (Ctrl+X).

    6. Перезапустите службу SSH, чтобы изменения вступили в силу:

      sudo systemctl restart sshd

    Внимание: Перед закрытием текущей сессии откройте новое окно терминала и убедитесь, что вы всё ещё можете войти с помощью вашего SSH-ключа. Если вы этого не сделаете, вы рискуете лишить себя доступа к серверу.

    6. Как исправить ошибку SSH «разрешения слишком открыты»?

    Эта распространённая ошибка возникает из-за того, что клиент SSH применяет строгие политики безопасности. Ваш приватный ключ и директория, в которой он находится, не должны быть доступными для записи или использования другими пользователями на вашей системе. Если это происходит, SSH откажется использовать ключ, чтобы предотвратить возможные нарушения безопасности.

    Сообщение об ошибке обычно выглядит так: Permissions 0644 for '/home/user/.ssh/id_ed25519' слишком открыты.

    Чтобы исправить это, вы должны установить правильные права доступа к файлу с помощью команды chmod.

    • На вашей локальной машине выполните эти команды:

      chmod 700 ~/.ssh chmod 600 ~/.ssh/id_ed25519
      • 700 предоставляет права на чтение, запись и выполнение только вам, владельцу.
    • 600 предоставляет права на чтение и запись только вам, владельцу.

  • На вашем удалённом сервере убедитесь, что права доступа также установлены правильно:

    chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys

    • 7. Могу ли я использовать один и тот же SSH-ключ для нескольких серверов?

    Да, обычной практикой является использование одной и той же пары SSH-ключей для доступа к нескольким серверам. Этот процесс включает создание одной пары ключей на вашей локальной рабочей станции с последующим копированием публичного ключа (id_ed25519.pub) на каждый сервер, которым необходимо управлять.

    Этот подход удобен, потому что вам нужно управлять только одним приватным ключом. Однако он сопряжен с определенными компромиссами в области безопасности:

    • Удобство: Управляйте одной учетной записью в различных системах.
    • Риск: Если ваш единственный приватный ключ будет украден или скомпрометирован, злоумышленник получит доступ ко всем серверам, которые доверяют его публичному ключу.

    Для повышения безопасности, особенно в производственных или бизнес-средах, часто лучше использовать отдельные пары ключей для различных ролей или сред (например, личный ключ, рабочий ключ для разработки и другой для продакшена). Эта практика, известная как разделение привилегий, ограничивает потенциальный ущерб в случае компрометации одного ключа.

    Заключение

    Вы успешно настроили аутентификацию по SSH-ключу на вашем сервере Ubuntu 22.04. Создав безопасную пару ключей и отключив вход по паролю, вы значительно повысили безопасность сервера против атак методом подбора пароля и обеспечили более быстрый и удобный способ удалённого управления. Доступ по ключу является базовым навыком для безопасного управления системами и автоматизации задач.

    Чтобы развить полученные знания, подумайте о том, чтобы изучить продвинутые функции SSH, например использование файла конфигурации (~/.ssh/config) для управления несколькими подключениями или ssh-agent для работы с вашей парольной фразой. Для более глубокого изучения возможностей SSH ознакомьтесь с нашими подробными руководствами:

    • Руководство по основам SSH.
    • Как использовать SSH для подключения к удаленному серверу (пошаговое руководство)
    • Как создать SSH-ключ в Linux: Простое пошаговое руководство

    Спасибо, что учитесь вместе с сообществом Linux-Console.net.

    Комментарии

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Другие статьи: